成熟网络威胁情报计划的几个特征

今年早些时候，企业战略集团（ESG）发布了一份调研报告，呈现了企业在其整体网络安全战略中融入威胁情报的情况。该研究项目包含对380位企业网络安全专业人员的调查（企业雇员规模超1000人）。

受访人员被问及所属企业网络威胁情报（CTI）计划的相关问题：CTI计划的人员配备情况如何？何种技术是最重要的？面临哪些挑战？有何策略？支出计划是什么样的？此前也有几篇文章详细解读该项研究：有给出企业威胁情报计划概况的，有审视威胁情报生命周期所面临挑战的，有聚焦CTI和数字风险保护（DRP）间交叉点的。

在企业CTI计划问题上，二八定律同样适用。具体而言，80%的企业设置有基本的威胁情报计划，而20%则更进一步。但即使在CTI计划更加高级的这20%里面，也没几家企业拥有精心设计的威胁情报生命周期、既定的流程和指标，并且始终如一地遵循最佳实践。

为什么会出现这种情况？因为大多数企业只是将威胁情报当成了已知恶意文件、IP地址和网站域名等用来参考和充实警报的入侵指标（IoC）。很少有企业将自动化IoC发现纳入阻止规则，参照MITRE ATT&CK框架制定自身威胁情报计划的企业就更少了，于是大部分企业都无法跟踪攻击者战术、技术与程序（TTP）来创建检测规则、构建威胁知情防御或验证自己的安全控制措施。说到CTI计划，做到顶尖的毕竟只是极少数，基本都是金融服务、大型科技公司、国家军队和情报机构。

成熟网络威胁情报的特征

考虑到企业威胁情报计划的现状，受访人员被问及成熟CTI计划的几个特征。他们的回答和相应分析如下：

别误会，上述所有数据点都应该是CTI计划的一部分。换句话说，这项研究凸显出，大多数企业没有成熟的CTI计划，许多安全专业人员也不清楚成熟的CTII计划是什么样子的。强大的CTI计划在正确执行的情况下肯定可以加强安全防御，因此，如果找托管服务提供商来帮助弥合这一差距，而不是自己得过且过，很多企业都能从中收获极大益处。

ESG完整报告
https://www.esg-global.com/research/complete-survey-results-operationalizing-cyber-threat-intelligence

参考阅读
网络安全研究人员面临人身威胁
三大威胁趋势：网络钓鱼、社交媒体与暗网
[调研] 多年过去，网络威胁情报计划仍步履蹒跚

原文始发于微信公众号（数世咨询）：成熟网络威胁情报计划的几个特征